為保障關鍵資訊基礎設施安全，根據《中華人民共和國網路安全法》，我辦會同相關部門起草了《關鍵資訊基礎設施安全保護條例（徵求意見稿）》，現向社會公開徵求意見。有關單位和各界人士可以在2017年8月10日前，通過以下方式提出意見：

　　

　　一、通過信函方式將意見寄至：北京市西城區車公莊大街11號國家網際網路信息辦公室網路安全協調局，郵編100044，並在信封上註明“徵求意見”。

　　

　　二、通過電子郵件方式發送至：security@cac.gov.cn。

　　

　　附件：關鍵資訊基礎設施安全保護條例（徵求意見稿）

　　

　　國家網際網路信息辦公室

　　

　　2017年7月10日

　　

　　關鍵資訊基礎設施安全保護條例

　　

　　(徵求意見稿）

　　

　　第一章 總則

　　

　　第一條 為了保障關鍵資訊基礎設施安全，根據《中華人民共和國網路安全法》，制定本條例。

　　

　　第二條 在中華人民共和國境內規劃、建設、運營、維護、使用關鍵資訊基礎設施，以及開展關鍵資訊基礎設施的安全保護，適用本條例。

　　

　　第三條 關鍵資訊基礎設施安全保護堅持頂層設計、整體防護，統籌協調、分工負責的原則，充分發揮運營主體作用，社會各方積極參與，共同保護關鍵資訊基礎設施安全。

　　

　　第四條 國家行業主管或監管部門按照國務院規定的職責分工，負責指導和監督本行業、本領域的關鍵資訊基礎設施安全保護工作。

　　

　　國家網信部門負責統籌協調關鍵資訊基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責範圍內負責相關網路安全保護和監督管理工作。

　　

　　縣級以上地方人民政府有關部門按照國家有關規定開展關鍵資訊基礎設施安全保護工作。

　　

　　第五條 關鍵資訊基礎設施的運營者（以下稱運營者）對本單位關鍵資訊基礎設施安全負主體責任，履行網路安全保護義務，接受政府和社會監督，承擔社會責任。

　　

　　國家鼓勵關鍵資訊基礎設施以外的網路運營者自願參與關鍵資訊基礎設施保護體系。

　　

　　第六條 關鍵資訊基礎設施在網路安全等級保護制度基礎上，實行重點保護。

　　

　　第七條 任何個人和組織發現危害關鍵資訊基礎設施安全的行為，有權向網信、電信、公安等部門以及行業主管或監管部門舉報。

　　

　　收到舉報的部門應當及時依法作出處理；不屬於本部門職責的，應當及時移送有權處理的部門。

　　

　　有關部門應當對舉報人的相關資訊予以保密，保護舉報人的合法權益。

　　

　　第二章 支援與保障

　　

　　第八條 國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵資訊基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動。

　　

　　第九條 國家制定産業、財稅、金融、人才等政策，支援關鍵資訊基礎設施安全相關的技術、産品、服務創新，推廣安全可信的網路産品和服務，培養和選拔網路安全人才，提高關鍵資訊基礎設施的安全水準。

　　

　　第十條 國家建立和完善網路安全標準體系，利用標準指導、規範關鍵資訊基礎設施安全保護工作。

　　

　　第十一條 地市級以上人民政府應當將關鍵資訊基礎設施安全保護工作納入地區經濟社會發展總體規劃，加大投入，開展工作績效考核評價。

　　

　　第十二條 國家鼓勵政府部門、運營者、科研機構、網路安全服務機構、行業組織、網路産品和服務提供者開展關鍵資訊基礎設施安全合作。

　　

　　第十三條 國家行業主管或監管部門應當設立或明確專門負責本行業、本領域關鍵資訊基礎設施安全保護工作的機構和人員，編制並組織實施本行業、本領域的網路安全規劃，建立健全工作經費保障機制並督促落實。

　　

　　第十四條 能源、電信、交通等行業應當為關鍵資訊基礎設施網路安全事件應急處置與網路功能恢復提供電力供應、網路通信、交通運輸等方面的重點保障和支援。

　　

　　第十五條 公安機關等部門依法偵查打擊針對和利用關鍵資訊基礎設施實施的違法犯罪活動。

　　

　　第十六條 任何個人和組織不得從事下列危害關鍵資訊基礎設施的活動和行為：

　　

　　（一）攻擊、侵入、干擾、破壞關鍵資訊基礎設施；

　　

　　（二）非法獲取、出售或者未經授權向他人提供可能被專門用於危害關鍵資訊基礎設施安全的技術資料等資訊；

　　

　　（三）未經授權對關鍵資訊基礎設施開展滲透性、攻擊性掃描探測；

　　

　　（四）明知他人從事危害關鍵資訊基礎設施安全的活動，仍然為其提供網際網路接入、伺服器託管、網路存儲、通訊傳輸、廣告推廣、支付結算等幫助；

　　

　　（五）其他危害關鍵資訊基礎設施的活動和行為。

　　

　　第十七條 國家立足開放環境維護網路安全，積極開展關鍵資訊基礎設施安全領域的國際交流與合作。

　　

　　第三章 關鍵資訊基礎設施範圍

　　

　　第十八條 下列單位運作、管理的網路設施和資訊系統，一旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵資訊基礎設施保護範圍：

　　

　　（一）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；

　　

　　（二）電信網、廣播電視網、網際網路等資訊網路，以及提供雲計算、大數據和其他大型公共資訊網路服務的單位；

　　

　　（三）國防科工、大型裝備、化工、食品藥品等行業領域科研生産單位；

　　

　　（四）廣播電臺、電視臺、通訊社等新聞單位；

　　

　　（五）其他重點單位。

　　

　　第十九條 國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵資訊基礎設施識別指南。

　　

　　國家行業主管或監管部門按照關鍵資訊基礎設施識別指南，組織識別本行業、本領域的關鍵資訊基礎設施，並按程式報送識別結果。

　　

　　關鍵資訊基礎設施識別認定過程中，應當充分發揮有關專家作用，提高關鍵資訊基礎設施識別認定的準確性、合理性和科學性。

　　

　　第二十條 新建、停運關鍵資訊基礎設施，或關鍵資訊基礎設施發生重大變化的，運營者應當及時將相關情況報告國家行業主管或監管部門。

　　

　　國家行業主管或監管部門應當根據運營者報告的情況及時進行識別調整，並按程式報送調整情況。

　　

　　第四章 運營者安全保護

　　

　　第二十一條 建設關鍵資訊基礎設施應當確保其具有支援業務穩定、持續運作的性能，並保證安全技術措施同步規劃、同步建設、同步使用。

　　

　　第二十二條 運營者主要負責人是本單位關鍵資訊基礎設施安全保護工作第一責任人，負責建立健全網路安全責任制並組織落實，對本單位關鍵資訊基礎設施安全保護工作全面負責。

　　

　　第二十三條 運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障關鍵資訊基礎設施免受干擾、破壞或者未經授權的訪問，防止網路數據泄漏或者被竊取、篡改：

　　

　　（一）制定內部安全管理制度和操作規程，嚴格身份認證和許可權管理；

　　

　　（二）採取技術措施，防範電腦病毒和網路攻擊、網路侵入等危害網路安全行為；

　　

　　（三）採取技術措施，監測、記錄網路運作狀態、網路安全事件，並按照規定留存相關的網路日誌不少於六個月；

　　

　　（四）採取數據分類、重要數據備份和加密認證等措施。

　　

　　第二十四條 除本條例第二十三條外，運營者還應當按照國家法律法規的規定和相關國家標準的強制性要求，履行下列安全保護義務：

　　

　　（一）設置專門網路安全管理機構和網路安全管理負責人，並對該負責人和關鍵崗位人員進行安全背景審查；

　　

　　（二）定期對從業人員進行網路安全教育、技術培訓和技能考核；

　　

　　（三）對重要系統和數據庫進行容災備份，及時對系統漏洞等安全風險採取補救措施；

　　

　　（四）制定網路安全事件應急預案並定期進行演練；

　　

　　（五）法律、行政法規規定的其他義務。

　　

　　第二十五條 運營者網路安全管理負責人履行下列職責：

　　

　　（一） 組織制定網路安全規章制度、操作規程並監督執行；

　　

　　（二）組織對關鍵崗位人員的技能考核；

　　

　　（三）組織制定並實施本單位網路安全教育和培訓計劃；

　　

　　（四）組織開展網路安全檢查和應急演練，應對處置網路安全事件；

　　

　　（五）按規定向國家有關部門報告網路安全重要事項、事件。

　　

　　第二十六條 運營者網路安全關鍵崗位專業技術人員實行執證上崗制度。

　　

　　執證上崗具體規定由國務院人力資源社會保障部門會同國家網信部門等部門制定。

　　

　　第二十七條 運營者應當組織從業人員網路安全教育培訓，每人每年教育培訓時長不得少於1個工作日，關鍵崗位專業技術人員每人每年教育培訓時長不得少於3個工作日。

　　

　　第二十八條 運營者應當建立健全關鍵資訊基礎設施安全檢測評估制度，關鍵資訊基礎設施上線運作前或者發生重大變化時應當進行安全檢測評估。

　　

　　運營者應當自行或委託網路安全服務機構對關鍵資訊基礎設施的安全性和可能存在的風險隱患每年至少進行一次檢測評估，對發現的問題及時進行整改，並將有關情況報國家行業主管或監管部門。

　　

　　第二十九條 運營者在中華人民共和國境內運營中收集和産生的個人資訊和重要數據應當在境記憶體儲。因業務需要，確需向境外提供的，應當按照個人資訊和重要數據出境安全評估辦法進行評估；法律、行政法規另有規定的，依照其規定。

　　

　　第五章 産品和服務安全

　　

　　第三十條 運營者採購、使用的網路關鍵設備、網路安全專用産品，應當符合法律、行政法規的規定和相關國家標準的強制性要求。

　　

　　第三十一條 運營者採購網路産品和服務，可能影響國家安全的，應當按照網路産品和服務安全審查辦法的要求，通過網路安全審查，並與提供者簽訂安全保密協議。

　　

　　第三十二條 運營者應當對外包開發的系統、軟體，接受捐贈的網路産品，在其上線應用前進行安全檢測。

　　

　　第三十三條 運營者發現使用的網路産品、服務存在安全缺陷、漏洞等風險的，應當及時採取措施消除風險隱患，涉及重大風險的應當按規定向有關部門報告。

　　

　　第三十四條 關鍵資訊基礎設施的運作維護應當在境內實施。因業務需要，確需進行境外遠端維護的，應事先報國家行業主管或監管部門和國務院公安部門。

　　

　　第三十五條 面向關鍵資訊基礎設施開展安全檢測評估，發佈系統漏洞、電腦病毒、網路攻擊等安全威脅資訊，提供雲計算、資訊技術外包等服務的機構，應當符合有關要求。

　　

　　具體要求由國家網信部門會同國務院有關部門制定。

　　

　　第六章 監測預警、應急處置和檢測評估

　　

　　第三十六條 國家網信部門統籌建立關鍵資訊基礎設施網路安全監測預警體系和資訊通報制度，組織指導有關機構開展網路安全資訊匯總、分析研判和通報工作，按照規定統一發佈網路安全監測預警資訊。

　　

　　第三十七條 國家行業主管或監管部門應當建立健全本行業、本領域的關鍵資訊基礎設施網路安全監測預警和資訊通報制度，及時掌握本行業、本領域關鍵資訊基礎設施運作狀況和安全風險，向有關運營者通報安全風險和相關工作資訊。

　　

　　國家行業主管或監管部門應當組織對安全監測資訊進行研判，認為需要立即採取防範應對措施的，應當及時向有關運營者發佈預警資訊和應急防範措施建議，並按照國家網路安全事件應急預案的要求向有關部門報告。

　　

　　第三十八條 國家網信部門統籌協調有關部門、運營者以及有關研究機構、網路安全服務機構建立關鍵資訊基礎設施網路安全資訊共用機制，促進網路安全資訊共用。

　　

　　第三十九條 國家網信部門按照國家網路安全事件應急預案的要求，統籌有關部門建立健全關鍵資訊基礎設施網路安全應急協作機制，加強網路安全應急力量建設，指導協調有關部門組織跨行業、跨地域網路安全應急演練。

　　

　　國家行業主管或監管部門應當組織制定本行業、本領域的網路安全事件應急預案，並定期組織演練，提升網路安全事件應對和災難恢復能力。發生重大網路安全事件或接到網信部門的預警資訊後，應立即啟動應急預案組織應對，並及時報告有關情況。

　　

　　第四十條 國家行業主管或監管部門應當定期組織對本行業、本領域關鍵資訊基礎設施的安全風險以及運營者履行安全保護義務的情況進行抽查檢測，提出改進措施，指導、督促運營者及時整改檢測評估中發現的問題。

　　

　　國家網信部門統籌協調有關部門開展的抽查檢測工作，避免交叉重復檢測評估。

　　

　　第四十一條 有關部門組織開展關鍵資訊基礎設施安全檢測評估，應堅持客觀公正、高效透明的原則，採取科學的檢測評估方法，規範檢測評估流程，控制檢測評估風險。

　　

　　運營者應當對有關部門依法實施的檢測評估予以配合，對檢測評估發現的問題及時進行整改。

　　

　　第四十二條 有關部門組織開展關鍵資訊基礎設施安全檢測評估，可採取下列措施：

　　

　　（一）要求運營者相關人員就檢測評估事項作出説明；

　　

　　（二）查閱、調取、複製與安全保護有關的文檔、記錄；

　　

　　（三）查看網路安全管理制度制訂、落實情況以及網路安全技術措施規劃、建設、運作情況；

　　

　　（四）利用檢測工具或委託網路安全服務機構進行技術檢測；

　　

　　（五）經運營者同意的其他必要方式。

　　

　　第四十三條 有關部門以及網路安全服務機構在關鍵資訊基礎設施安全檢測評估中獲取的資訊，只能用於維護網路安全的需要，不得用於其他用途。

　　

　　第四十四條 有關部門組織開展關鍵資訊基礎設施安全檢測評估，不得向被檢測評估單位收取費用，不得要求被檢測評估單位購買指定品牌或者指定生産、銷售單位的産品和服務。

　　

　　第七章 法律責任

　　

　　第四十五條 運營者不履行本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規定的網路安全保護義務的，由有關主管部門依據職責責令改正，給予警告；拒不改正或者導致危害網路安全等後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。

　　

　　第四十六條 運營者違反本條例第二十九條規定，在境外存儲網路數據，或者向境外提供網路數據的，由國家有關主管部門依據職責責令改正，給予警告，沒收違法所得，處五萬元以上五十萬元以下罰款，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　

　　第四十七條 運營者違反本條例第三十一條規定，使用未經安全審查或安全審查未通過的網路産品或者服務的，由國家有關主管部門依據職責責令停止使用，處採購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

　　

　　第四十八條 個人違反本條例第十六條規定，尚不構成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以並處五萬元以上五十萬元以下罰款；情節較重的，處五日以上十五日以下拘留，可以並處十萬元以上一百萬元以下罰款；構成犯罪的，依法追究刑事責任。

　　

　　單位有前款行為的，由公安機關沒收違法所得，處十萬元以上一百萬元以下罰款，並對直接負責的主管人員和其他直接責任人員依照前款規定處罰。

　　

　　違反本條例第十六條規定，受到刑事處罰的人員，終身不得從事關鍵資訊基礎設施安全管理和網路運營關鍵崗位的工作。

　　

　　第四十九條 國家機關關鍵資訊基礎設施的運營者不履行本條例規定的網路安全保護義務的，由其上級機關或者有關機關責令改正；對直接負責的主管人員和其他直接負責人員依法給予處分。

　　

　　第五十條 有關部門及其工作人員有下列行為之一的，對直接負責的主管人員和其他直接責任人員依法給予處分；構成犯罪的，依法追究刑事責任：

　　

　　（一）在工作中利用職權索取、收受賄賂；

　　

　　（二）玩忽職守、濫用職權；

　　

　　（三）擅自洩露關鍵資訊基礎設施有關資訊、資料及資料檔案；

　　

　　（四）其他違反法定職責的行為。

　　

　　第五十一條 關鍵資訊基礎設施發生重大網路安全事件，經調查確定為責任事故的，除應當查明運營單位責任並依法予以追究外，還應查明相關網路安全服務機構及有關部門的責任，對有失職、瀆職及其他違法行為的，依法追究責任。

　　

　　第五十二條 境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵資訊基礎設施的活動，造成嚴重後果的，依法追究法律責任；國務院公安部門、國家安全機關和有關部門並可以決定對該機構、組織、個人採取凍結財産或者其他必要的制裁措施。

　　

　　第八章 附則

　　

　　第五十三條 存儲、處理涉及國家秘密資訊的關鍵資訊基礎設施的安全保護，還應當遵守保密法律、行政法規的規定。

　　

　　關鍵資訊基礎設施中的密碼使用和管理，還應當遵守密碼法律、行政法規的規定。

　　

　　第五十四條 軍事關鍵資訊基礎設施的安全保護，由中央軍事委員會另行規定。

　　

　　第五十五條 本條例自****年**月**日起施行。